Cybermenace sur l’Europe : les nouvelles armes numériques de Moscou

Deux groupes de hackers pro-russes, UAC-0050 et UAC-0006, orchestrent une vague d’attaques cybernétique ciblant l’Ukraine et ses alliés avec une sophistication inédite.

Depuis le début de l’année 2025, la guerre numérique menée par la Russie contre l’Ukraine prend une tournure particulièrement préoccupante. À travers une série d’opérations cyber offensives d’une ampleur croissante, deux groupes d’intrusion baptisés UAC-0050 et UAC-0006, identifiés par le Centre ukrainien de réponse aux incidents cyber (CERT-UA), se sont imposés comme les bras armés numériques d’une stratégie hybride mêlant cybercriminalité, espionnage et guerre psychologique. Leur modus operandi évolue, leurs infrastructures se renforcent, et leurs cibles se diversifient au-delà de l’Ukraine, atteignant désormais l’Europe occidentale.

Derrière ces noms de code se cachent deux entités bien distinctes, mais complémentaires. UAC-0050, qualifié de « groupe mercenaire lié aux services de sécurité russes », est spécialisé dans le vol d’informations financières et l’ingénierie sociale. UAC-0006, quant à lui, agit dans l’ombre depuis plus d’une décennie avec un objectif similaire : infiltrer les systèmes informatiques ukrainiens, souvent à travers les ordinateurs des comptables, pour détourner des fonds via les systèmes bancaires à distance.

Leurs opérations en janvier et février 2025, démassifiées par la société Intrinsec, montrent une intensification des attaques, notamment par le biais de campagnes de spam et de logiciels malveillants, ciblant des entités gouvernementales, des entreprises de l’énergie, des ONG, des journalistes, et même des structures internationales collaborant avec l’Ukraine.

Service de Veille ZATAZ – 96% de satisfaction

Une infrastructure opaque mais redoutablement efficace

Ce qui distingue particulièrement ces campagnes récentes, c’est l’utilisation d’infrastructures d’hébergement dites « bulletproof » – des réseaux tolérants voire complices d’activités illégales. Ces prestataires, souvent basés en Russie, en Ukraine ou dans des paradis réglementaires comme les Seychelles, permettent aux cybercriminels de masquer leurs traces, d’échapper aux sanctions, et de relocaliser leurs infrastructures en quelques heures à travers de nouveaux réseaux.

Ainsi, UAC-0050 s’appuie sur les réseaux de Virtualine, société derrière Railnet LLC (enregistrée dans le Kentucky mais opérée depuis l’étranger), utilisant des adresses IP gérées par des figures connues du cybercrime comme Karina Rashkovska. Cette dernière est notamment liée au réseau AS215789, utilisé aussi par le groupe SocGholish, spécialiste de l’accès initial aux systèmes d’entreprises vendus ensuite à des groupes de ransomware.

Les infrastructures utilisées par UAC-0050 et UAC-0006 migrent constamment à travers des réseaux offshore, créant un écosystème cybercriminel parallèle, difficilement attaquable par des moyens juridiques classiques.

UAC-0006, de son côté, s’appuie sur l’AS215540 (Global Connectivity Solutions LLP), une entité britannique en apparence légitime mais contrôlée par deux sociétés écrans seychelloises. Cette infrastructure est aujourd’hui suspectée d’héberger également les opérations de ransomware menées par les groupes Black Basta, Cactus et RansomHub, démontrant les liens de plus en plus étroits entre espionnage étatique et cybercriminalité pure.

Le transfert régulier d’adresses IP entre ces réseaux – notamment depuis les structures aujourd’hui sanctionnées comme Zservers – montre une volonté délibérée de faire disparaître les traces et de contourner les mesures internationales. Zservers, acteur clef de ce maillage, a vu plusieurs de ses plages d’IP migrer vers de nouveaux acteurs tout aussi opaques, comme AS213194 en Russie ou AS61336 basé aux Seychelles.

Des campagnes de spam virulentes à l’espionnage ciblé

Entre janvier et février 2025, UAC-0050 a basculé vers un nouvel outil de contrôle à distance : NetSupport Manager. Ce logiciel légitime, détourné à des fins malveillantes, est intégré dans des fichiers téléchargés à l’insu de la cible après ouverture de faux documents PDF [ZATAZ vous a montré ces attaques en vidéo] ou de scripts JavaScript dissimulés dans des archives compressées. L’objectif est clair : prendre le contrôle de la machine, collecter des données confidentielles ou injecter d’autres malwares.

Les mails frauduleux, souvent rédigés en ukrainien ou en anglais, utilisent des leurres crédibles – factures, contrats ou correspondances officielles – pour piéger les victimes. Les cibles sont diverses : ministères, entreprises stratégiques dans le domaine de l’énergie et du gaz, ONG engagées dans l’aide humanitaire, ou encore médias couvrant l’invasion russe.

En novembre 2024, une vaste campagne de phishing visait par exemple des institutions gouvernementales en Ukraine, en Pologne, en France, mais aussi au Canada, en Jordanie ou au Mexique. Le lien menait à une archive contenant un exécutable infecté par Remcos, un outil de surveillance capable de capturer des frappes clavier ou d’enregistrer des captures d’écran.

La guerre psychologique s’intensifie

Mais la nouveauté la plus inquiétante reste l’intensification des opérations psychologiques, ou PsyOps. En décembre 2024, plusieurs vagues de courriels menaçants, émanant du même groupe, sont envoyées à des institutions ukrainiennes, mais aussi à des ambassades étrangères et à des structures européennes. Ces messages évoquent des attentats à la bombe, avec des détails suffisamment crédibles pour provoquer l’évacuation de bâtiments et la suspension de services publics.

Signés par le soi-disant « Fire Cells Group« , ces messages accusent le gouvernement ukrainien de trahison, appellent à la violence contre les forces de l’ordre, et menacent de déclencher des explosions dans des écoles, hôpitaux ou centres administratifs. Dans certains cas, des photographies d’armes et de dispositifs explosifs artisanaux sont jointes aux mails pour renforcer leur impact psychologique.

Ces courriels vont jusqu’à menacer de tuer le président français Emmanuel Macron lors de sa visite à Varsovie, en décembre 2024. Les dates coïncident précisément avec son déplacement officiel en Pologne, renforçant la thèse d’une campagne calculée visant à tester les dispositifs de sécurité et à amplifier le chaos informationnel.

Certains des messages sont accompagnés de liens vers des canaux Telegram ou forums du dark web, comme Rutor, où des armes sont présentées à la vente, en lien avec des organisations criminelles russes telles que le cartel Khimprom. La présence d’éléments criminels organisés, mêlant trafic d’armes, de drogues et de malwares, suggère une hybridation inquiétante entre guerre asymétrique et criminalité transnationale.

Service de Veille ZATAZ – 96% de satisfaction

Vers une généralisation du cyber-chaos ?

La capacité de ces groupes à maintenir une infrastructure stable, tout en échappant aux autorités et en recyclant sans cesse de nouvelles adresses IP, soulève une question cruciale pour les pays européens : comment répondre efficacement à des menaces qui utilisent l’anonymat juridique d’États tiers, le flou réglementaire de certaines juridictions, et l’innovation technologique comme bouclier ?

Les infrastructures telles que Stark Industries (AS44477), Global Internet Solutions LLC ou encore Virtualine ne se contentent pas d’héberger des campagnes de phishing ou d’espionnage : elles alimentent un écosystème complet qui soutient des ransomwares, du vol de données, et la désinformation de masse.

Intrinsec révèle dans son analyse que certaines adresses IP utilisées par UAC-0050 pour diffuser NetSupport Manager ont également servi à héberger des campagnes de Cactus ou Black Basta, deux groupes de ransomwares responsables d’attaques destructrices à travers l’Europe.

Les implications sont profondes. Car au-delà des dégâts économiques ou de la compromission d’informations sensibles, ces campagnes visent à éroder la confiance dans les institutions, à désorganiser les chaînes de décision, et à nourrir l’instabilité à l’échelle continentale. Elles traduisent aussi une mutation de la guerre hybride, où l’informatique devient l’arme la plus agile, invisible et redoutable.

Alors que les États européens renforcent leurs défenses numériques, pourront-ils réellement contrer une menace aussi volatile, mobile et polymorphe que celle incarnée par les UAC russes ? Ou sommes-nous déjà entrés dans une ère où les cyberattaques sont appelées à devenir le quotidien des rapports de force géopolitiques ?

Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à la newsletter de ZATAZ. Rejoignez également notre groupe WhatsApp et nos réseaux sociaux pour accéder à des informations exclusives, des alertes en temps réel et des conseils pratiques pour protéger vos données.